目录
策略设置
您可以使用该策略为管理组中包含的所有客户端设备配置 Kaspersky Endpoint Security 设置。
策略设置的值集合和默认值可能会因应用程序授权许可类型而异。KESL 容器不支持某些设置的配置。
您可以在下表所述的策略属性窗口的部分和子部分中配置应用程序的操作设置。有关配置常规策略设置和事件设置的信息,请参阅 Kaspersky Security Center 文档。
“策略”属性窗口的各个部分
|
部分 |
子部分 |
|---|---|
|
基本威胁防护 |
|
|
高级威胁防护 |
|
|
本地任务 |
|
|
常规设置 |
文件威胁防护
文件威胁防护可防止用户设备的文件系统受到感染。文件威胁防护在 Kaspersky Endpoint Security 启动时自动以默认设置启动。它驻留在设备操作内存中,并扫描打开、保存和启动的所有文件。
文件威胁防护设置
|
设置 |
Description |
|---|---|
|
启用文件威胁防护 |
此复选框用于启用或禁用所有受管理设备上的文件威胁防护。 默认选中该复选框。 |
|
文件威胁防护模式 |
在此下拉列表中,可以选择文件威胁防护模式:
|
|
扫描 |
|
|
检测到感染对象时的操作 |
这组设置包含配置按钮。单击此按钮将打开“检测到感染对象时的操作”窗口,您可以在其中配置 Kaspersky Endpoint Security 针对检测到的受感染对象执行的操作。 |
“扫描范围”窗口
该表包含扫描范围:应用程序将扫描位于表中指定路径的文件和目录。默认情况下,该表包含一个扫描范围,其中包括本地文件系统的所有目录。
扫描范围设置
|
设置 |
Description |
|---|---|
|
范围名称 |
扫描范围名称。 |
|
Path |
应用程序扫描的目录的路径。 |
|
状态 |
该状态指示应用程序是否扫描此范围。 |
Kaspersky Endpoint Security 会以对象在范围列表中的出现顺序扫描指定范围内的对象。如有必要,在列表中将子目录置于其父目录上方,来为子目录配置与父目录的安全设置不同的安全设置。
页面顶部“<扫描范围名称>”窗口
在此窗口中,您可以添加和配置扫描范围。
扫描范围设置
|
设置 |
Description |
|---|---|
|
扫描范围名称 |
用于输入扫描范围名称的字段。此名称将显示在扫描范围窗口的表格中。 该输入字段不能为空。 |
|
使用此范围 |
此复选框用于允许或禁止应用程序扫描此范围。 如果选中此复选框,应用程序将处理此扫描范围。 如果清除此复选框,则应用程序不会处理此扫描范围。您可以在以后选中此复选框,来在组件设置中包含此范围。 默认选中该复选框。 |
|
文件系统,访问协议和路径 |
该设置块可让您设置扫描范围。 您可以在文件系统下拉列表中选择文件系统类型:
|
|
如果在文件系统下拉列表中选择共享或挂载,则可以在右侧下拉列表中选择远程访问协议:
|
|
|
如果在文件系统下拉列表中选择本地,则可以在输入字段中输入要添加到扫描范围的目录的路径。您可以使用掩码指定路径。 默认情况下指定 / 路径 — 应用程序扫描本地文件系统的所有目录。 如果在文件系统下拉列表中选择本地类型选项,并且未指定路径,则应用程序会扫描本地文件系统的所有目录。 |
|
|
文件系统名称 |
用于输入要添加到扫描范围中的目录所在的文件系统名称的字段。 如果在文件系统下拉列表中选择了挂载类型,并且在右侧的下拉列表中选择了自定义项,则该字段可用。 |
|
掩码 |
该列表包含应用程序扫描的对象的名称掩码。 默认情况下,该列表包含 * 掩码(所有对象)。 |
“扫描设置”窗口
在此窗口中,您可以在启用文件威胁防护的同时配置文件扫描设置。
文件威胁防护设置
|
设置 |
Description |
|---|---|
|
扫描压缩文件 |
此复选框用于启用或禁用压缩文件扫描。 如果选中此复选框,则 Kaspersky Endpoint Security 将扫描压缩文件。 要扫描压缩文件,应用程序必须先将其解压缩,这可能会降低扫描速度。通过在常规扫描设置部分中配置如果扫描时间超过以下值(秒)则跳过对象和/或跳过大于以下值(MB)的对象设置,可以减少存档扫描持续时间。 如果清除此复选框,则 Kaspersky Endpoint Security 不会扫描压缩文件。 默认情况下,清除此复选框。 |
|
扫描 SFX 压缩文件 |
此复选框启用或禁用自解压存档扫描。自解压缩文件是包含可执行解压模块的压缩文件。 如果选中此复选框,则 Kaspersky Endpoint Security 将扫描自解压缩文件。 如果清除此复选框,则 Kaspersky Endpoint Security 不会扫描自解压缩文件。 如果清除扫描压缩文件复选框,则此复选框可用。 默认情况下,清除此复选框。 |
|
扫描邮件数据库 |
此复选框用于启用或禁用扫描 Microsoft Outlook、Outlook Express、The Bat! 和其他邮件应用程序的邮件数据库。 如果选中此复选框,则 Kaspersky Endpoint Security 将扫描邮件数据库文件。 如果清除此复选框,则 Kaspersky Endpoint Security 不会扫描邮件数据库文件。 默认情况下,清除此复选框。 |
|
扫描邮件格式文件 |
此复选框用于启用或禁用扫描纯文本电子邮件文件。 如果选中此复选框,则 Kaspersky Endpoint Security 将扫描纯文本邮件。 如果清除此复选框,则 Kaspersky Endpoint Security 不会扫描纯文本邮件。 默认情况下,清除此复选框。 |
|
跳过文本文件 |
从扫描中临时排除纯文本格式的文件。 如果选中该复选框,Kaspersky Endpoint Security 不会扫描文本文件,前提是它们在最近一次扫描后 10 分钟内被同一进程重复使用。此设置使优化应用程序日志扫描成为可能。 如果取消选中此复选框,Kaspersky Endpoint Security 将扫描文本文件。 默认情况下,清除此复选框。 |
|
如果扫描时间超过以下值(秒)则跳过对象 |
用于指定扫描对象的最长时间(以秒为单位)的字段。达到指定时间后,Kaspersky Endpoint Security 将停止扫描对象。 可用值:0–9999。如果该值设置为 0,则扫描时间不受限制。 默认值:60。 |
|
跳过大于以下值(MB)的对象 |
用于指定要扫描的压缩文件的最大大小(以 MB 为单位)的字段。 可用值:0–999999。如果该值设置为 0,则 Kaspersky Endpoint Security 将扫描任何大小的对象。 默认值:0。 |
|
记录清洁对象 |
此复选框启用或禁用 ObjectProcessed 类型事件的日志记录。 如果选中此复选框,Kaspersky Endpoint Security 会记录所有扫描对象的 ObjectProcessed 类型事件。 如果清除此复选框,则 Kaspersky Endpoint Security 不会记录 ObjectProcessed 类型事件。 默认情况下,清除此复选框。 |
|
记录未处理的对象 |
此复选框的功能是:在扫描期间无法处理文件时,启用或禁用 ObjectNotProcessed 类型事件的记录。 如果选中此复选框,则 Kaspersky Endpoint Security 将记录 ObjectNotProcessed 类型事件。 如果清除此复选框,则 Kaspersky Endpoint Security 不会记录 ObjectNotProcessed 类型事件。 默认情况下,清除此复选框。 |
|
记录打包对象 |
此复选框为检测到的所有打包对象启用或禁用 PackedObjectDetected 类型事件的记录 如果选中此复选框,则 Kaspersky Endpoint Security 将记录 PackedObjectDetected 类型事件。 如果清除此复选框,则 Kaspersky Endpoint Security 不会记录 PackedObjectDetected 类型事件。 默认情况下,清除此复选框。 |
|
使用 iChecker 技术 |
此复选框用于启用或禁用仅扫描自上次文件扫描以来的新文件和修改的文件。 如果选中此复选框,则 Kaspersky Endpoint Security 仅扫描自上次文件扫描以来的新文件或修改的文件。 如果清除此复选框,则 Kaspersky Endpoint Security 将扫描所有文件,不管创建日期或修改日期如何。 默认选中该复选框。 |
|
使用启发式分析 |
此复选框用于启用或禁用文件扫描期间的启发式分析。 默认选中该复选框。 |
|
启发式分析级别 |
如果选中“使用启发式分析”复选框,则可以在下拉列表中选择启发式分析级别:
|
“检测到感染对象时的操作”窗口
在此窗口中,您可以配置 Kaspersky Endpoint Security 对于所检测到的受感染对象执行的操作:
文件威胁防护设置
|
设置 |
Description |
|---|---|
|
第一个操作 |
在此下拉列表中,可以选择 Kaspersky Endpoint Security 对已检测到的受感染对象执行的第一个操作:
|
|
第二个操作 |
在此下拉列表中,可以选择 Kaspersky Endpoint Security 在对受感染对象执行的第一个操作失败后执行的第二个操作:
|
排除范围
扫描排除项是一组条件。当满足这些条件时,Kaspersky Endpoint Security 不会扫描对象中是否存在病毒和其他恶意软件。您还可以按掩码和威胁名称排除扫描对象。
扫描排除项设置
|
设置组 |
Description |
|---|---|
|
排除项 |
这组设置包含“配置”按钮。单击此按钮将打开“排除范围”窗口。在此窗口中,您可以定义要从扫描范围中排除的范围列表。 |
|
按掩码筛选的排除项 |
这组设置包含“配置”按钮,用于打开“按掩码筛选的排除项”窗口。在此窗口中,您可以配置按名称掩码在扫描中排除对象的设置。 |
|
按威胁名称筛选的排除项 |
这组设置包含配置按钮,用于打开“按威胁名称筛选的排除项”窗口。在此窗口中,您可以根据威胁名称配置在扫描中排除对象。 |
“排除范围”窗口
此表包含扫描排除范围。应用程序不会扫描位于表中指定路径的文件和目录。默认情况下,该表为空。
排除范围设置
|
设置 |
描述 |
|---|---|
|
排除范围名称 |
排除范围名称。 |
|
Path |
从扫描中排除的目录的路径。 |
|
状态 |
该状态指示应用程序是否使用该排除项。 |
“<排除范围名称>”窗口
在此窗口中,您可以添加和配置扫描排除范围。
排除范围设置
|
设置 |
描述 |
|---|---|
|
排除范围名称 |
用于输入排除范围名称的字段。此名称将显示在排除范围窗口的表格中。 该输入字段不能为空。 |
|
使用此范围 |
该复选框启用或禁用在应用程序运行时从扫描中排除相应范围。 如果选中此复选框,则应用程序在扫描期间将排除此区域。 如果清除此复选框,则应用程序在扫描范围中包含此区域。您可以在以后选中此复选框来排除此范围。 默认选中该复选框。 |
|
文件系统,访问协议和路径 |
该设置块可让您设置排除范围。 在文件系统下拉列表中,您可以选择要从扫描中排除的目录的文件系统类型:
|
|
如果在文件系统下拉列表中选择挂载,则可以在右侧下拉列表中选择远程访问协议:
|
|
|
如果在文件系统下拉列表中选择本地,则可以在输入字段中输入要添加到排除范围的目录的路径。您可以使用掩码指定路径。 默认情况下会指定 / 路径。应用程序将本地文件系统的所有目录排除在扫描范围之外。 |
|
|
文件系统名称 |
用于输入要添加到排除范围中的目录所在的文件系统名称的字段。 如果在文件系统下拉列表中选择了挂载类型,并且在右侧的下拉列表中选择了自定义项,则该字段可用。 |
|
掩码 |
该列表包含应用程序从扫描中排除的对象的名称掩码。掩码仅应用于在路径字段中指定的目录内的对象。 默认情况下,该列表包含 * 掩码(所有对象)。 |
按进程筛选的排除项
您可以从扫描中排除进程活动。应用程序不扫描指定进程的活动。您还可以排除指定进程修改的文件。
“按进程筛选的排除项”设置组包含一个“配置”按钮,该按钮可打开“按进程筛选的排除项”窗口。在此窗口中,可以定义按进程筛选的排除范围列表。
页面顶部“按进程筛选的排除项”窗口
该表包含按进程筛选的排除范围。按进程筛选的排除范围允许您从扫描中排除指定进程的活动和指定进程修改的文件。默认情况下,该表包括两个包含网络代理路径的排除范围。如有必要,您可以删除这些排除项。
按进程筛选的排除范围设置
|
设置 |
描述 |
|---|---|
|
排除范围名称 |
排除范围名称。 |
|
Path |
排除的进程的完整路径。 |
|
状态 |
该状态指示应用程序是否使用该排除项。 |
“受信任进程”窗口
在此窗口中,可以添加和配置按进程筛选的排除范围。
按进程筛选的排除范围设置
|
设置 |
描述 |
|---|---|
|
排除范围名称 |
用于输入排除范围名称的字段。此名称将显示在“按进程筛选的排除项”窗口的表格中。 该输入字段不能为空。 |
|
排除的进程的路径 |
要从扫描中排除的进程的完整路径。 |
|
应用到子进程 |
排除“排除的进程的路径”设置中指示的排除进程的子进程。 默认情况下,清除此复选框。 |
|
使用此范围 |
该复选框用于启用或禁用此排除范围。 如果选中此复选框,则应用程序在扫描期间将排除此区域。 如果清除此复选框,则应用程序在扫描范围中包含此区域。您可以在以后选中此复选框来排除此范围。 默认选中该复选框。 |
|
被修改文件的路径 |
该组设置允许您为进程修改的文件设置扫描排除项。 在文件系统下拉列表中,您可以选择要从扫描中排除的目录的文件系统类型:
|
|
如果在文件系统下拉列表中选择挂载或共享,则可以在访问协议下拉列表中选择远程访问协议:
|
|
|
如果在文件系统下拉列表中选择本地,则可以在输入字段中输入要添加到排除范围的目录的路径。您可以使用掩码指定路径。该输入字段不能为空。 |
|
|
文件系统名称 |
用于输入要添加到排除范围中的目录所在的文件系统名称的字段。 如果在文件系统下拉列表中选择了挂载类型,并且在右侧的下拉列表中选择了自定义项,则该字段可用。 |
|
掩码 |
该列表包含应用程序从扫描中排除的对象的名称掩码。掩码仅应用于“被修改文件的路径”字段中指定的目录中的对象。 |
防火墙管理
操作系统的防火墙可保护用户设备上存储的个人数据,当设备连接到互联网或局域网时,防火墙可阻止对操作系统的大多数威胁。
操作系统的防火墙可以检测用户设备上的所有网络连接,并提供这些网络连接的 IP 地址列表。防火墙管理任务允许您通过配置网络数据包规则来设置这些网络连接的状态。
KESL 容器不支持此功能。
配置网络数据包规则允许您指定想要的设备保护级别,例如从阻止所有应用程序的因特网访问到允许无限制访问权限。除非指定了防火墙管理任务的相应阻止规则,否则默认情况下将允许所有出站连接。
建议在启用防火墙管理组件之前禁用其他操作系统防火墙管理工具。
防火墙管理设置
|
设置 |
Description |
|---|---|
|
启用防火墙管理 |
此复选框用于启用或禁用防火墙管理。 默认选中该复选框。 |
|
网络数据包规则 |
这组设置包含配置按钮。单击此按钮将打开“网络数据包规则”窗口。在此窗口中,您可以配置防火墙管理组件在检测到网络连接尝试时应用的网络数据包规则。 |
|
可用网络 |
这组设置包含配置按钮。单击此按钮可打开可用网络列表窗口。在此窗口中,您可以配置防火墙管理组件将监视的网络列表。 |
|
传入连接 |
在此下拉列表中,您可以选择要对传入网络连接执行的操作:
|
|
传入数据包 |
在此下拉列表中,可以选择要针对传入数据包执行的操作:
|
|
始终为网络代理端口添加允许规则 |
此复选框启用或禁用网络端口的自动添加允许规则。 默认选中该复选框。 |
“网络数据包规则”窗口
网络数据包规则表包含防火墙管理组件用于监视网络活动的网络数据包规则。您可以为网络数据包规则配置下表所示的设置。
网络数据包规则设置
|
设置 |
Description |
|---|---|
|
Name |
网络数据包规则名称 |
|
操作 |
“防火墙管理”在检测到网络活动时要执行的操作。 |
|
本地地址 |
安装了 Kaspersky Endpoint Security 且可以发送和/或接收网络数据包的设备的网络地址。 |
|
远程地址 |
可以发送和/或接收网络数据包的远程设备的网络地址。 |
|
记录 |
此列显示应用程序是否记录网络数据包规则的操作。 如果值为 Yes,应用程序将记录网络数据包规则的操作。 如果值为 No,应用程序将不会记录网络数据包规则的操作。 |
默认情况下,网络数据包规则表为空。
页面顶部“添加网络数据包规则”窗口
在此窗口中,您可以配置添加的网络数据包规则设置。
网络数据包规则设置
|
设置 |
Description |
|---|---|
|
协议 |
您可以选择要监控其网络活动的数据传输协议的类型:
|
|
Direction |
您可以指定被监控的网络活动的方向:
|
|
ICMP 类型 |
您可以指定 ICMP 类型。防火墙管理组件将监控由主机或网关发送的指定类型的消息。 如果选择了指定的选项,则将显示用于输入 ICMP 类型的字段。 仅当在协议下拉列表中选择了 ICMP 或 ICMPv6 数据传输协议时,才会显示此窗口。 |
|
ICMP 代码 |
您可以指定 ICMP 代码。防火墙管理组件监控主机或网关发送的ICMP 类型字段中指定的类型和ICMP 代码字段中指定的代码的消息。 如果选择了指定的选项,则将显示用于输入 ICMP 代码的字段。 仅当在协议下拉列表中选择了 ICMP 或 ICMPv6 数据传输协议时,才会显示此窗口。 |
|
远程端口 |
您可以指定要监视其间连接的远程设备的端口号。 如果选择了指定的选项,则将显示用于输入端口号的字段。 仅当在协议下拉列表中选择了 TCP 或 UDP 数据传输协议时,才会显示此窗口。 |
|
本地端口 |
您可以指定要监视其间连接的本地设备的端口号。 如果选择了指定的选项,则将显示用于输入端口号的字段。 仅当在协议下拉列表中选择了 TCP 或 UDP 数据传输协议时,才会显示此窗口。 |
|
远程地址 |
您可以指定可以发送和接收网络数据包的远程设备的网络地址:
|
|
本地地址 |
您可以指定安装了 Kaspersky Endpoint Security 并且可以发送和接收网络数据包的设备的网络地址:
|
|
操作 |
您可以选择防火墙管理组件检测到网络活动时要执行的操作:
|
|
记录 |
您可以指定是否将网络规则的操作记录在报告中。 |
|
规则名称 |
用于输入网络数据包规则名称的字段。 |
“可用网络”窗口
可用网络表包含由防火墙管理组件控制的网络。可用网络表默认为空。
可用网络设置
|
设置 |
Description |
|---|---|
|
IP 地址 |
网络 IP 地址。 |
|
网络类型 |
网络类型(公用网络、本地网络或受信任网络)。 |
“网络连接”窗口
在此窗口中,您可以配置防火墙管理组件将监控的网络连接。
网络连接
|
设置 |
Description |
|---|---|
|
IP 地址 |
用于输入网络 IP 地址的字段。 |
|
网络类型 |
您可以选择网络的类型:
|
Web 威胁防护
在 Web 威胁防护组件运行时,Kaspersky Endpoint Security 会扫描入站流量,阻止从互联网下载恶意文件,还可以阻止网络钓鱼、广告软件或其他恶意网站。
KESL 容器不支持此功能。
该应用程序扫描 HTTP、HTTPS 和 FTP 流量。此外,该应用程序还会扫描网站和 IP 地址。您可以指定要监视的网络端口或网络端口范围。
要监控 HTTPS 流量,请启用加密的连接扫描。要监控 FTP 流量,请选中“监控所有网络端口”复选框。
Web 威胁防护设置
|
设置 |
描述 |
|---|---|
|
启用 Web 威胁防护 |
此复选框用于启用或禁用 Web 威胁防护。 默认情况下,清除此复选框。 |
|
受信任网址 |
这组设置包含配置按钮,用于打开受信任网址窗口,您可以在其中指定受信任网址列表。Kaspersky Endpoint Security 不会扫描其网址包含在此列表中的网站的内容。 |
|
检测威胁时的操作 |
应用程序对在其中检测到危险对象的 Web 资源执行的操作:
|
|
扫描设置 |
这组设置包含配置按钮,用于打开扫描设置窗口,您可以在其中配置用于扫描传入流量的设置。 |
“受信任的网址”窗口
在此窗口中,您可以添加您认为其内容受信任的网址和网页。
您只能将 HTTP/HTTPS 网址添加到受信任的网址列表中。您可以使用掩码指定网址。不支持使用掩码指定 IP 地址。默认情况下,该列表为空。
页面顶部“网址”窗口
在此窗口中,您可以将网址或网址掩码添加到受信任网址列表中。
您只能将 HTTP/HTTPS 网址添加到受信任的网址列表中。您可以使用掩码指定网址。不支持使用掩码指定 IP 地址。
页面顶部“扫描设置”窗口
在此窗口中,您可以配置在运行 Web 威胁防护组件期间扫描传入流量的设置。
Web 威胁防护设置
|
设置 |
Description |
|---|---|
|
检测恶意对象 |
此复选框启用或禁用根据恶意网址数据库检查链接的功能。 默认选中该复选框。 |
|
检测钓鱼链接 |
此复选框启用或禁用根据网络钓鱼网址数据库检查链接的功能。 默认选中该复选框。 |
|
使用启发式分析来检测钓鱼链接 |
此复选框启用或禁用通过启发式分析来检测钓鱼链接的功能。 如果选中了检测钓鱼链接复选框,则此复选框可用,默认情况下处于选中状态。 |
|
检测广告软件 |
此复选框启用或禁用根据广告软件网址数据库检查链接的功能。 默认情况下,清除此复选框。 |
|
检测可能被黑客用来损害设备或数据的合法应用程序 |
此复选框启用或禁用根据黑客可能用来损害设备或数据的合法应用程序数据库检查链接的功能。 默认情况下,清除此复选框。 |
网络威胁防护
当网络威胁防护组件运行时,应用程序会扫描入站网络流量,以查找网络攻击的典型活动。默认情况下,应用程序启动时会启动网络威胁防护。
KESL 容器不支持此功能。
应用程序从当前的应用程序数据库中接收 TCP 端口编号,并扫描这些端口的传入流量。在检测到针对您的设备的网络攻击企图时,应用程序会阻止来自攻击设备的网络活动,并记录有关检测到的网络活动的事件。
为了扫描网络流量,网络威胁防护任务从应用程序数据库接收端口号,并接受通过所有这些端口的连接。在网络扫描过程中,它可能看起来像是设备上的一个开放端口,即使系统上没有任何应用程序正在侦听此端口。建议通过防火墙关闭未使用的端口。
网络威胁防护设置
|
设置 |
Description |
|---|---|
|
启用网络威胁防护 |
此复选框启用或禁用网络威胁防护。 默认选中该复选框。 |
|
检测到威胁后的操作 |
在检测到属于典型网络攻击的网络活动时执行的操作。
|
|
阻止攻击设备 |
此复选框会启用或禁用在检测到网络攻击企图时阻止网络活动的功能。 默认选中该复选框。 |
|
阻止攻击主机(分钟) |
在此字段中,您可以指定攻击方设备被阻止的持续时间(以分钟为单位)。在指定时间之后,Kaspersky Endpoint Security 允许来自该设备的网络活动。 可用值:介于 1 到 32768 之间的整数。 默认值:60。 |
|
排除项 |
这组设置包含“配置”按钮,用于打开“排除项”窗口,您可以在其中指定 IP 地址列表。来自这些 IP 地址的网络攻击将不会被阻止。 |
“IP 地址”窗口
在此窗口中,您可以添加和编辑 IP 地址。来自这些 IP 地址的网络攻击将不会被 Kaspersky Endpoint Security 阻止。
IP 地址
|
设置 |
描述 |
|---|---|
|
指定 IP 地址 (IPv4 或 IPv6) |
用于输入一个 IP 地址的字段。 您可以指定 IPv4 和 IPv6 版本的 IP 地址。 |
卡巴斯基安全网络
为了加强对设备和用户数据的保护,Kaspersky Endpoint Security 可以使用卡巴斯基基于云的知识库 - 卡巴斯基安全网络 (KSN) 来检查文件、互联网资源和软件的信誉。使用卡巴斯基安全网络数据可确保更快地响应各种威胁、高保护组件性能和更少的误报。
Kaspersky Endpoint Security 支持以下基础设施解决方案与卡巴斯基的信誉数据库一起使用:
- 卡巴斯基安全网络 (KSN) – 一种解决方案,从卡巴斯基接收信息并将有关在用户设备上检测到的对象的数据发送到卡巴斯基以供卡巴斯基分析人员进行额外验证并添加到信誉和统计数据库中。
- 卡巴斯基私有安全网络 (KPSN) – 一种解决方案,允许安装了 Kaspersky Endpoint Security 的设备的用户访问卡巴斯基的信誉数据库以及其他统计数据,而无需从他们的设备向卡巴斯基发送数据。KPSN 专为因例如以下原因而无法使用卡巴斯基安全网络的企业客户所设计:
- 本地工作场所没有连接到互联网
- 法律禁止或公司安全限制将任何数据发送到国家或组织的本地网络之外
更改 Kaspersky Endpoint Security 授权许可后,将新密钥的详细信息提交给服务提供商,以便能够使用 KPSN。否则,与 KPSN 的数据交换将由于身份验证错误而无法进行。
使用卡巴斯基安全网络是自愿的。在安装期间,Kaspersky Endpoint Security 会建议使用 KSN。您可以随时开始或停止使用 KSN。
使用 KSN 有两个选项:
- 具有统计数据共享功能的 KSN(扩展 KSN 模式)– 您可以从卡巴斯基实验室知识库接收信息,同时 Kaspersky Endpoint Security 会自动向 KSN 发送运行期间获得的统计信息。该应用程序还可以发送给卡巴斯基,针对入侵者可用于损害设备或数据的其他某种文件(或部分文件)进行扫描。
- 不分享统计数据的 KSN – 您可以从卡巴斯基实验室知识库接收信息,而 Kaspersky Endpoint Security 不会发送有关威胁类型和来源的匿名统计信息和数据。
您可以随时开始或停止使用卡巴斯基安全网络。您还可以通过单击“编辑”按钮选择其他卡巴斯基安全网络使用选项。
不会收集、处理或存储任何个人数据。有关在参与 KSN 期间生成的统计信息的存储、销毁和/或提交给卡巴斯基的详细信息,请参阅卡巴斯基安全网络声明和卡巴斯基网站。
您可以在“卡巴斯基安全网络声明”窗口中阅读卡巴斯基安全网络声明的文本,单击卡巴斯基安全网络声明链接即可打开该窗口。
受 Kaspersky Security Center 管理服务器管理的用户设备可以通过 KSN 代理服务器服务与 KSN 交互。您可以在 Kaspersky Security Center 管理服务器属性中配置 KSN 代理服务器设置。有关 KSN 代理服务器服务的详细信息,请参阅 Kaspersky Security Center 文档。
页面顶部卡巴斯基安全网络设置
在此窗口中,您可以配置卡巴斯基安全网络加入设置。
卡巴斯基安全网络设置
|
设置 |
描述 |
|---|---|
|
更多信息… |
单击此链接可打开卡巴斯基网站。 |
|
不使用 KSN |
选择此选项即表示您拒绝使用卡巴斯基安全网络。 |
|
不分享统计数据的 KSN |
选择此选项,即表示您接受卡巴斯基安全网络的使用条款。您将能够从卡巴斯基在线知识库接收有关文件、Web 资源和软件的信誉的信息。 |
|
分享统计数据的 KSN(KSN 扩展模式) |
选择此选项,即表示您接受卡巴斯基安全网络的使用条款。您将能够从卡巴斯基在线知识库接收有关文件、Web 资源和软件的信誉的信息。此外,有关各种威胁的类型和来源的匿名统计数据和信息将发送给卡巴斯基,以改进卡巴斯基安全网络。 |
|
卡巴斯基安全网络声明 |
单击此链接将打开卡巴斯基安全网络声明窗口。在此窗口中,可以阅读卡巴斯基安全网络声明的文本。 |
卡巴斯基安全网络声明
在此窗口中,您可以阅读卡巴斯基安全网络声明的文本并接受其条款和条件。
卡巴斯基安全网络设置
|
设置 |
Description |
|---|---|
|
我确认已完全阅读、理解并接受卡巴斯基安全网络声明的条款和条件 |
选择此选项,即表示您确认要使用卡巴斯基安全网络,并且您已完全阅读、理解并接受所显示的卡巴斯基安全网络声明的条款和条件。 如果在“卡巴斯基安全网络设置”窗口中选择“不具有统计数据共享功能的 KSN”选项或“具有统计数据共享功能的 KSN(扩展 KSN 模式)”选项,则该选项可用。 |
|
我不接受卡巴斯基安全网络声明的条款和条件 |
选择此选项,即表示您确认您不想使用卡巴斯基安全网络。 如果在“卡巴斯基安全网络设置”窗口中选择“不具有统计数据共享功能的卡巴斯基安全网络”选项或“具有统计数据共享功能的卡巴斯基安全网络(扩展 KSN 模式)”选项,则该选项可用。 |
卡巴斯基专属安全网络声明
在此窗口中,您可以阅读卡巴斯基私有安全网络声明的文本并接受其条款和条件。
卡巴斯基安全网络设置
|
设置 |
Description |
|---|---|
|
我确认已完全阅读、理解并接受卡巴斯基安全网络声明的条款和条件 |
选择此选项,即表示您确认要加入卡巴斯基安全网络,并且您已完全阅读、理解并接受所显示的卡巴斯基私有安全网络声明的条款和条件。 |
|
我不接受卡巴斯基安全网络声明的条款和条件 |
选择此选项,即表示您确认您不想使用卡巴斯基安全网络。 |
应用程序控制
在执行应用程序控制任务期间,Kaspersky Endpoint Security 控制用户设备上的应用程序启动。通过限制对应用程序的访问,这有助于降低设备感染的风险。应用程序启动受应用程序控制规则的约束。
要使用该组件,需要包含相应功能的授权许可。
KESL 容器不支持此功能。
应用程序控制可在两种模式下运行:
- 拒绝列表。在此模式下,Kaspersky Endpoint Security 允许所有用户启动应用程序控制规则中未指定的任何应用程序。这是应用程序控制组件的默认操作模式。
- 允许列表。在此模式下,Kaspersky Endpoint Security 禁止所有用户启动应用程序控制规则中未指定的任何应用程序。
对于每种应用程序控制操作模式,都可以创建单独的规则并指定操作:应用规则或测试规则。Kaspersky Endpoint Security 在检测到启动应用程序的尝试时执行此操作。
下表描述了应用程序控制设置。
应用程序控制设置
|
设置 |
Description |
|---|---|
|
启用应用程序控制 |
该复选框将启用应用程序控制组件。 默认情况下,清除此复选框。 |
|
检测到应用程序启动尝试时的操作 |
Kaspersky Endpoint Security 在检测到与配置规则匹配的应用程序启动尝试时执行的操作:
|
|
应用程序控制模式 |
应用程序控制任务操作模式:
|
|
应用程序控制规则 |
这组设置包含配置按钮。单击此按钮可打开应用程序控制规则窗口。 |
“应用程序控制规则”窗口
应用程序控制规则表包含应用程序控制组件使用的规则。默认情况下,应用程序控制规则表为空。
应用程序控制规则设置
|
设置 |
Description |
|---|---|
|
类别名称 |
规则使用的应用程序类别的名称。 |
|
状态 |
应用程序控制规则的操作状态:
您可以在添加新规则窗口中更改规则状态。 |
“添加规则”窗口
在此窗口中,您可以为创建的应用程序控制规则配置设置。
添加应用程序控制规则
|
设置 |
Description |
|---|---|
|
Description |
应用程序控制规则的说明。 |
|
规则状态 |
在下拉列表中,您可以选择应用程序控制规则的状态:
|
|
Category |
这组设置包含配置按钮。单击此按钮可打开应用程序控制类别窗口。 |
|
访问控制列表 |
该表包含应用程序控制规则所适用的用户或用户组,以及分配给他们的访问权限类型的列表,其中包含以下列: |
“应用程序控制类别”窗口
在此窗口中,您可以为应用程序控制规则添加新类别或配置类别设置。
Kaspersky Endpoint Security 不支持使用 Kaspersky Security Center 的 KL 类别。
应用程序控制类别
|
设置 |
Description |
|---|---|
|
类别名称 |
添加的应用程序控制类别的列表。 |
|
添加 |
单击该按钮启动类别创建向导。按照向导的说明进行操作。 |
|
编辑 |
单击此按钮将打开类别属性窗口,您可以在其中更改类别设置。 |
“主体名称”窗口
在此窗口中,可以指定要为其配置规则的本地或域用户或用户组。
添加应用程序控制规则
|
设置 |
Description |
|---|---|
|
主体类型 |
规则适用的主体类型:用户或组。 |
|
用户或组名称 |
要应用应用程序控制规则的用户或用户组的名称。 |
|
Access |
访问类型:允许访问或阻止访问。 |
反加密
反加密允许您保护通过 SMB/NFS 协议进行网络访问的本地目录中的文件,使其免受远程恶意加密侵扰。
当反加密组件运行时,Kaspersky Endpoint Security 会扫描远程设备访问位于受保护设备的共享网络目录中的文件的调用。如果应用程序将远程设备对网络文件资源的操作视为恶意加密,则该设备将被添加到不受信任的设备列表中,并且无法访问共享的网络目录。如果在反加密组件保护范围之外的目录中检测到该活动,则应用程序不会将其视为恶意加密。
KESL 容器不支持此功能。
要使用该组件,需要包含相应功能的授权许可。
为了保证反加密组件正常工作,必须在操作系统上安装至少一项服务(Samba 或 NFS)。对于 NFS 服务,必须安装 rpcbind 软件包。
反加密可以在 SMB1、SMB2、SMB3、NFS3、TCP/UDP 和 IP/IPv6 协议下正常运行。不支持使用 NFS2 和 NFS4 协议。建议配置服务器设置,以保证不能使用 NFS2 和 NFS4 协议挂载资源。
在将设备活动识别为恶意活动之前,反加密不会阻止对网络文件资源的访问。因此,在应用程序检测到恶意活动之前,至少有一个文件将被加密。
反加密设置
|
设置 |
Description |
|---|---|
|
启用反加密勒索 |
此复选框用于启用或禁用对本地目录中可通过 SMB/NFS 协议从网络访问的文件的保护,防止这些文件被远程恶意加密。 默认选中该复选框。 |
|
保护范围 |
|
|
排除项 |
这组设置包含“配置”按钮。单击此按钮将打开“排除范围”窗口。在此窗口中,您可以定义要从扫描范围中排除的范围列表。 |
|
按掩码筛选的排除项 |
这组设置包含“配置”按钮,用于打开“按掩码筛选的排除项”窗口。在此窗口中,您可以配置按名称掩码在扫描中排除对象的设置。 |
“扫描范围”窗口
该表包含扫描范围:应用程序将扫描位于表中指定路径的文件和目录。默认情况下,该表包含一个扫描范围,其中包括本地文件系统的所有目录。
扫描范围设置
|
设置 |
Description |
|---|---|
|
范围名称 |
扫描范围名称。 |
|
Path |
应用程序扫描的目录的路径。 |
|
状态 |
该状态指示应用程序是否扫描此范围。 |
Kaspersky Endpoint Security 会以对象在范围列表中的出现顺序扫描指定范围内的对象。如有必要,在列表中将子目录置于其父目录上方,来为子目录配置与父目录的安全设置不同的安全设置。
页面顶部<新扫描范围>窗口
在此窗口中,您可以添加或配置反加密组件的保护范围。
保护范围设置
|
设置 |
Description |
|---|---|
|
范围名称 |
用于输入保护范围名称的字段。此名称将显示在扫描范围窗口的表格中。 该输入字段不能为空。 |
|
使用此范围 |
此复选框用于允许或禁止应用程序扫描此范围。 如果选中此复选框,应用程序将在组件工作期间处理此保护范围。 如果清除此复选框,则应用程序不会在组件工作期间处理此保护范围。您可以在以后选中此复选框,来在组件操作设置中包含此范围。 默认选中该复选框。 |
|
文件系统,访问协议和路径 |
该设置块可让您设置扫描范围。 您可以在文件系统下拉列表中选择文件系统类型:
|
|
如果在文件系统下拉列表中选择共享,则可以在右侧下拉列表中选择远程访问协议:
|
|
|
如果在文件系统下拉列表中选择本地,则可以在输入字段中输入要添加到保护范围的目录的路径。您可以使用掩码指定路径。 该字段不能为空。 |
|
|
掩码 |
该列表包含应用程序在反加密组件工作期间扫描的对象的名称掩码。 默认情况下,该列表包含 * 掩码(所有对象)。 |
“保护设置”窗口
保护设置
|
设置 |
描述 |
|---|---|
|
启用不受信任主机阻止 |
此复选框用于启用或禁用不受信任主机阻止。 默认选中该复选框。 |
|
将不受信任的设备阻止(分钟) |
在此字段中,您可以按分钟为单位,指定不受信任的设备阻止持续时间。在指定的时间过后,Kaspersky Endpoint Security 将从阻止的设备列表中删除不受信任的设备。主机对网络文件资源的访问将在它从不受信任的主机列表中删除后自动恢复。 如果受到危害的主机被阻止,并且您更改了此设置值,则该主机的阻止时间不会变化。阻止时间不是动态值,它在阻止时进行计算。 可用值:介于 1 到 4294967295 之间的整数。 默认值:30。 |
“排除范围”窗口
此表包含扫描排除范围。应用程序不会扫描位于表中指定路径的文件和目录。默认情况下,该表为空。
排除范围设置
|
设置 |
描述 |
|---|---|
|
排除范围名称 |
排除范围名称。 |
|
Path |
从扫描中排除的目录的路径。 |
|
状态 |
该状态指示应用程序是否使用该排除项。 |
“<排除范围名称>”窗口
在此窗口中,您可以添加和配置扫描排除范围。
排除范围设置
|
设置 |
描述 |
|---|---|
|
排除范围名称 |
用于输入排除范围名称的字段。此名称将显示在排除范围窗口的表格中。 该输入字段不能为空。 |
|
使用此范围 |
该复选框启用或禁用在应用程序运行时从扫描中排除相应范围。 如果选中此复选框,则应用程序在扫描期间将排除此区域。 如果清除此复选框,则应用程序在扫描范围中包含此区域。您可以在以后选中此复选框来排除此范围。 默认选中该复选框。 |
|
文件系统,访问协议和路径 |
该设置块可让您设置排除范围。 在文件系统下拉列表中,您可以选择要从扫描中排除的目录的文件系统类型:
|
|
如果在文件系统下拉列表中选择挂载,则可以在右侧下拉列表中选择远程访问协议:
|
|
|
如果在文件系统下拉列表中选择本地,则可以在输入字段中输入要添加到排除范围的目录的路径。您可以使用掩码指定路径。 默认情况下会指定 / 路径。应用程序将本地文件系统的所有目录排除在扫描范围之外。 |
|
|
文件系统名称 |
用于输入要添加到排除范围中的目录所在的文件系统名称的字段。 如果在文件系统下拉列表中选择了挂载类型,并且在右侧的下拉列表中选择了自定义项,则该字段可用。 |
|
掩码 |
该列表包含应用程序从扫描中排除的对象的名称掩码。掩码仅应用于在路径字段中指定的目录内的对象。 默认情况下,该列表包含 * 掩码(所有对象)。 |
系统完整性监控
系统完整性监控旨在跟踪在组件操作设置中指定的监控范围内,对文件和目录执行的操作。您可以使用系统完整性监控来跟踪可能表明受保护设备上存在安全漏洞的文件更改。
要使用该组件,需要包含相应功能的授权许可。
KESL 容器不支持此功能。
系统完整性监控设置
|
设置 |
Description |
|---|---|
|
启用系统完整性监控 |
此复选框启用或禁用系统完整性监控。 默认情况下,清除此复选框。 |
|
监控范围 |
这组设置包含配置按钮。单击此按钮将打开“扫描范围”窗口。 |
|
监控排除项 |
这组设置包含配置按钮。单击此按钮将打开“排除范围”窗口。 |
|
按掩码筛选的排除项 |
这组设置包含配置按钮,用于打开按掩码筛选的排除项窗口。 |
“扫描范围”窗口
该表包含系统完整性监控组件的监控范围。应用程序会监控位于表中指定路径的文件和目录。默认情况下,该表包含一个卡巴斯基内部对象 (/opt/kaspersky/kesl/) 监控范围。
监控范围设置
|
设置 |
Description |
|---|---|
|
范围名称 |
监控范围名称。 |
|
Path |
应用程序保护的目录的路径。 |
|
状态 |
该状态指示应用程序是否扫描此范围。 |
Kaspersky Endpoint Security 会以对象在范围列表中的出现顺序扫描指定范围内的对象。如有必要,在列表中将子目录置于其父目录上方,来为子目录配置与父目录的安全设置不同的安全设置。
页面顶部<新扫描范围>窗口
在此窗口中,您可以为系统完整性监控组件添加和配置监控范围。
监控范围设置
|
设置 |
Description |
|---|---|
|
扫描范围名称 |
用于输入监控范围名称的字段。此名称将显示在扫描范围窗口的表格中。 该输入字段不能为空。 |
|
使用此范围 |
此复选框用于允许或禁止应用程序扫描此范围。 如果选中此复选框,应用程序将在运行期间控制此监控范围。 如果清除此复选框,应用程序不会在运行期间控制此监控范围。您可以在以后选中此复选框,来在组件设置中包含此范围。 默认选中该复选框。 |
|
文件系统,访问协议和路径 |
用于指定要包含在监控范围中的本地目录路径的输入字段。 该字段不能为空。默认路径为 /opt/kaspersky/kesl。 |
|
掩码 |
该列表包含应用程序扫描的对象的名称掩码。 默认情况下,该列表包含 * 掩码(所有对象)。 |
“排除范围”窗口
该表包含系统完整性监控组件的监控排除范围。应用程序不会扫描位于表中指定路径的文件和目录。默认情况下,该表为空。
监控排除范围设置
|
设置 |
描述 |
|---|---|
|
排除范围名称 |
排除范围名称。 |
|
Path |
从监控中排除的目录的路径。 |
|
状态 |
指示应用程序是否在组件运行期间将此范围排除在监控之外。 |
“<排除范围名称>”窗口
在此窗口中,您可以为系统完整性监控组件添加或配置监控排除范围。
监控排除范围设置
|
设置 |
描述 |
|---|---|
|
排除范围名称 |
用于输入排除范围名称的字段。此名称将显示在排除范围窗口的表格中。该输入字段不能为空。 |
|
使用此范围 |
该复选框启用或禁用在应用程序运行时从监控中排除相应范围。 如果选中此复选框,则应用程序会在组件运行期间将此范围排除在监控之外。 如果清除此复选框,则应用程序将在组件运行期间监控此范围。您可以在以后选中此复选框来从监控中排除此范围。 默认选中该复选框。 |
|
文件系统,访问协议和路径 |
要添加到排除范围的本地目录路径的输入字段。该字段不能为空。 默认情况下会指定 / 路径。应用程序将本地文件系统的所有目录排除在扫描范围之外。 |
|
掩码 |
该列表包含应用程序排除在监控范围之外的对象的名称掩码。 默认情况下,该列表包含 * 掩码(所有对象)。 |
设备控制
在设备控制组件运行过程中,Kaspersky Endpoint Security 管理用户对已安装或连接到客户端设备的设备(例如,硬盘驱动器、摄像头或 Wi-Fi 模块)的访问。这样,您可以在连接外部设备时保护客户端设备免受感染,并防止数据丢失或泄漏。设备控制使用访问规则管理用户对设备的访问。
KESL 容器不支持此功能。
当设备控制任务拒绝访问某个设备且该设备连接到客户端设备时,应用程序会拒绝规则中指定的用户访问该设备并显示通知。尝试在此设备上读取和写入期间,应用程序会静默阻止规则中指定的用户读取/写入。
设备控制设置
|
设置 |
描述 |
|---|---|
|
启用设备控制 |
此复选框用于启用或禁用设备控制。 默认选中该复选框。 |
|
受信任设备 |
这组设置包含配置按钮。单击此按钮可打开受信任设备窗口。在此窗口中,您可以按设备 ID 或从在客户端设备上检测到的设备列表中选择设备,将设备添加到受信任的设备列表中。 |
|
设备控制操作 |
当尝试对根据访问规则拒绝访问的设备进行访问时,应用程序执行的操作。
|
|
设备控制设置 |
“受信任的设备”窗口
该表包含受信任设备的列表。该表默认为空。
受信任设备窗口
|
设置 |
Description |
|---|---|
|
设备 ID |
受信任设备的 ID。 |
|
设备名称 |
受信任设备的名称。 |
|
设备类型 |
受信任的设备类型(例如,硬盘驱动器或智能卡读卡器)。 |
|
主机名 |
受信任设备连接到的客户端设备的名称。 |
|
注释 |
与受信任设备相关的注释。 |
您可以按设备 ID 或从在用户设备上检测到的设备列表中选择所需设备,将设备添加到受信任设备列表中。
页面顶部“受信任的设备”窗口
在此窗口中,您可以通过设备的标识符将设备添加到受信任设备列表中。
按 ID 添加设备
|
设置 |
Description |
|---|---|
|
设备 ID |
用于输入要添加到受信任设备列表中的设备的标识符或标识符掩码的字段。 要指定标识符,可以使用以下通配符:*(任意字符序列)或 ?(任意单个字符)。例如,您可以指定 USBSTOR* 掩码以允许访问所有 USB 驱动器。 |
|
在主机上查找 |
如果设备已连接到客户端设备,单击此按钮将显示由指定标识符找到的设备的设置。如果设备 ID 字段不为空,则该按钮可用。 |
|
设备设置 |
本部分包含有关设备的以下信息:
|
|
注释 |
用于为要添加到受信任设备列表中的设备输入注释的字段(可选)。 |
客户端设备上的设备窗口
在此窗口中,您可以通过在客户端设备上检测到的现有设备列表中选择设备将其添加到受信任设备列表中。
只有当存在活动策略并且已与网络代理同步(以网络代理策略中指定的频率执行,默认情况下为 15 分钟)时,有关现有设备的信息才可用。如果创建新策略但没有其他活动策略,则该列表将为空。
从列表中添加设备
|
设置 |
Description |
|---|---|
|
主机名 |
用于输入要查找已连接设备的受管理设备的名称或名称掩码的字段。默认掩码为 * — 所有受管理设备。 |
|
设备类型 |
在此下拉列表中,您可以选择要搜索的连接设备的类型(例如,硬盘驱动器或智能卡读卡器)。默认情况下选择所有设备选项。 |
|
设备 ID |
用于输入要查找的设备的标识符或标识符掩码的字段。默认掩码为 * — 即所有设备。 |
|
在主机上查找 |
单击此按钮后,应用程序将以指定设置搜索设备。搜索结果显示在下表中。 |
“设备类型”窗口
在此窗口中,您可以为各种类型的设备配置访问规则。
设备类型的访问规则
|
设置 |
Description |
|---|---|
|
设备类型 |
设备类型(例如,硬盘驱动器、打印机)。 |
|
Access |
设备访问类型。右键单击将打开上下文菜单,您可以在其中选择以下选项之一:
|
在通过双击设备类型打开的配置设备访问规则窗口中,您可以为允许在受限制的情况下访问的设备配置访问规则和访问计划。
页面顶部“配置设备访问规则”窗口
在此窗口中,您可以为所选设备类型配置访问规则和计划。
在设备类型窗口中双击设备类型即可打开此窗口。
设备访问规则和计划
|
设置 |
Description |
|---|---|
|
用户和/或用户组 |
该列表包含可以为其配置访问计划的用户和组。 默认情况下,该表包含 \Everyone 项目(所有用户)。 您可以添加、编辑和删除用户或用户组。 |
|
按访问计划分类的选定用户组规则 |
此表包含用户和用户组的访问计划。它由以下列组成: |
“主体名称”窗口
在此窗口中,您可以配置正在创建的设备访问规则的设置。
配置设备访问规则
|
设置 |
Description |
|---|---|
|
主体类型 |
规则适用的主体类型:用户或组。 |
|
用户或组名称 |
规则适用的用户或用户组的名称。 |
“设备访问计划”窗口
在此窗口中,您可以配置设备访问计划。您只能为硬盘驱动器、可移动驱动器、软盘和 CD/DVD 驱动器配置计划。
在“常规设置->应用程序设置”部分中,如果清除“扫描期间阻止访问文件”复选框,则无法使用设备访问计划阻止对设备的访问。
设备访问计划
|
设置 |
Description |
|---|---|
|
Name |
访问计划名称的输入字段。 |
|
时间间隔 |
在此表格中,您可以选择计划的时间间隔(天和小时)。 以绿色突出显示的时间间隔将包含在计划中。 要从计划中排除时间间隔,请单击相应的单元格。从计划中排除的时间间隔以灰色突出显示。 默认情况下,所有间隔 (24/7) 都包含在计划中。 |
“连接总线”窗口
在此窗口中,您可以配置连接总线的访问规则。
总线连接规则
|
设置 |
描述 |
|---|---|
|
连接总线 |
用于将设备连接到客户端设备的连接总线:
|
|
Access |
连接总线访问规则。单击鼠标右键将打开一个上下文菜单,您可以在其中选择以下选项之一:
|
行为检测
默认情况下,行为检测组件在 Kaspersky Endpoint Security 启动时启动,并监控操作系统中的恶意应用程序活动。当检测到恶意活动时,Kaspersky Endpoint Security 可以终止执行恶意活动的应用程序进程。
KESL 容器不支持此功能。
行为检测组件设置
|
设置 |
Description |
|---|---|
|
启用行为检测 |
此复选框启用或禁用行为检测组件。 默认选中该复选框。 |
|
行为检测组件运行模式 |
Kaspersky Endpoint Security 在操作系统中检测到恶意活动时执行的操作:
|
|
按进程使用排除项 |
此复选框用于启用或禁用在行为检测组件的操作中按进程排除。 默认情况下,清除此复选框。 “配置”按钮可打开“按进程筛选的排除项”窗口。在此窗口中,可以排除进程的活动。 |
“按进程筛选的排除项”窗口
该表包含按进程筛选的排除范围。按进程筛选的排除范围允许您排除指定进程的活动。默认情况下,该表为空。
按进程筛选的排除范围设置
|
设置 |
描述 |
|---|---|
|
排除范围名称 |
排除范围名称。 |
|
Path |
排除的进程的完整路径。 |
|
状态 |
该状态指示应用程序是否使用该排除项。 |
“受信任进程”窗口
在此窗口中,可以添加和配置按进程筛选的排除范围。
按进程筛选的排除范围设置
|
设置 |
描述 |
|---|---|
|
排除范围名称 |
用于输入排除范围名称的字段。此名称将显示在“按进程筛选的排除项”窗口的表格中。 |
|
排除的进程的路径 |
要从扫描中排除的进程的完整路径。您可以使用掩码指定路径。 该输入字段不能为空。 |
|
应用到子进程 |
排除“排除的进程的路径”设置中指示的排除进程的子进程。 默认情况下,清除此复选框。 |
|
使用此范围 |
该复选框用于启用或禁用此排除范围。 如果选中此复选框,则应用程序排除此范围。 如果清除此复选框,则应用程序包括此范围。您可以在以后选中此复选框来排除此范围。 默认选中该复选框。 |
任务管理
您可以配置在受管理设备上查看和管理 Kaspersky Endpoint Security 任务的能力。
任务管理设置
|
设置 |
Description |
|---|---|
|
允许用户查看和管理本地任务 |
此复选框允许或阻止用户查看在 Kaspersky Endpoint Security 中创建的本地任务,并在受管理客户端设备上控制这些任务。 默认情况下,清除此复选框。 |
|
允许用户查看和管理通过 KSC 创建的任务 |
此复选框允许或禁止用户查看在 Kaspersky Security Center 中创建的任务,并在受管理客户端设备上管理这些任务。 默认情况下,清除此复选框。 |
可移动驱动器扫描
运行可移动驱动器扫描任务时,应用程序会扫描可移动设备及其启动扇区中是否有病毒和其他恶意软件。扫描以下可移动驱动器:CD、DVD、蓝光光盘、闪存驱动器(包括 USB 调制解调器)、外部硬盘驱动器和软盘。
KESL 容器不支持此功能。
可移动驱动器扫描任务设置
|
设置 |
Description |
|---|---|
|
在可移动驱动器连接到设备后,启用可移动驱动器扫描 |
此复选框启用或禁用可移动驱动器连接到用户设备时对其进行的扫描。 默认情况下,清除此复选框。 |
|
连接可移动驱动器时的操作 |
在下拉列表中,您可以选择应用程序在将可移动驱动器连接到用户设备时要执行的操作: |
|
连接 CD / DVD 驱动器时的操作 |
在下拉列表中,您可以选择应用程序将 CD/DVD 驱动器和蓝光驱动器连接到用户设备时要执行的操作: |
|
扫描期间阻止对可移动驱动器的访问 |
此复选框用于启用或禁用在执行可移动驱动器扫描任务期间阻止已连接驱动器上的文件。 默认情况下,清除此复选框。 |
代理服务器设置
如果客户端设备的用户使用代理服务器连接到互联网,您可以配置代理服务器设置。Kaspersky Endpoint Security 可使用代理服务器连接到卡巴斯基服务器,例如在更新应用程序数据库和模块时或与卡巴斯基安全网络和 Kaspersky Endpoint Detection and Response (KATA) 通信时。
代理服务器设置
|
设置 |
Description |
|---|---|
|
不使用代理服务器 |
如果选择此选项,Kaspersky Endpoint Security 不使用代理服务器。 |
|
使用指定的代理服务器设置 |
如果选择此选项,Kaspersky Endpoint Security 使用指定的代理服务器设置。 |
|
地址和端口 |
用于输入代理服务器的 IP 地址或域名及其端口的字段。 默认端口:3128。 如果选择了“使用指定的代理服务器设置”选项,则这些字段可用。 |
|
使用用户名和密码 |
此复选框用于启用或禁用使用用户名和密码进行代理服务器身份验证。 如果选择了“使用指定的代理服务器设置”选项,则此复选框可用。 默认情况下,清除此复选框。 通过 HTTP 代理连接时,我们建议使用不用于登录其他系统的单独账户。HTTP 代理使用不安全的连接,账户可能会被入侵。 |
|
用户名 |
用于代理服务器身份验证的用户名的输入字段。 如果选中使用用户名和密码复选框,则该输入字段可用。 |
|
密码 |
用于输入代理服务器身份验证的用户密码的输入字段。 建议确保密码复杂性和反暴力破解机制,使密码无法在 6 个月内被猜出。 单击“显示”按钮将使用户密码以明文形式显示在“密码”字段中。默认情况下,用户密码是隐藏的,并显示为星号。 如果选中“使用用户名和密码”复选框,则该输入字段和按钮可用。 |
|
使用 Kaspersky Security Center 作为应用程序激活代理服务器 |
此复选框用于启用或禁用将 Kaspersky Security Center 用作激活应用程序的代理服务器。 如果选中此复选框,则 Kaspersky Endpoint Security 将 Kaspersky Security Center 用作激活应用程序的代理服务器。 默认情况下,清除此复选框。 |
应用程序设置
您可以配置 Kaspersky Endpoint Security 的常规设置。
常规应用程序设置
|
设置 |
描述 |
|---|---|
|
检测可能被黑客用来损害设备或数据的合法应用程序 |
此复选框用于启用或禁用检测可能被黑客用来损害计算机或用户数据的合法软件。 默认情况下,清除此复选框。 |
|
事件通知 |
这组设置包含配置按钮。单击此按钮可打开通知设置窗口。在此窗口中,您可以选择应用程序在操作系统日志 (syslog) 中记录的事件。为此,请选中要记录的每种事件类型旁边的复选框。 您还可以选中事件重要性级别(严重事件、信息消息、功能性故障和警告)旁边的复选框。在这种情况下,将自动选中属于所选重要性级别组的每种事件类型旁边的复选框。 默认情况下,这些复选框均处于未选中状态。 |
|
在扫描期间阻止文件 |
该复选框用于启用或禁用在扫描期间阻止文件威胁防护、反加密勒索、设备控制组件和可移动驱动器扫描任务对文件的访问。 清除此复选框可以启用文件威胁保护、设备控制和可移动驱动器扫描的信息模式。 默认选中该复选框。 |
容器扫描设置
您可以配置 Kaspersky Endpoint Security 的命名空间和容器扫描设置。
除非操作系统中安装了用于使用容器和命名空间的组件,否则应用程序不会扫描命名空间和容器。此外,在“应用程序”部分的设备属性中,以及容器扫描的“组件”部分的应用程序属性中,会显示“已停止”状态。
容器扫描设置
|
设置 |
描述 |
|---|---|
|
启用命名空间和容器扫描 |
此复选框启用或禁用命名空间和容器扫描。 默认选中该复选框。 |
|
检测到威胁时对容器的操作 |
在下拉列表中,您可以选择检测到受感染对象时要对容器执行的操作:
在支持此功能的授权许可下使用应用程序时,此设置可用。 |
|
容器扫描设置 |
这组设置包含“配置”按钮。单击此按钮将打开“容器扫描设置”窗口。 |
“容器扫描设置”窗口
在此窗口中,您可以配置 Kaspersky Endpoint Security 的容器扫描设置。
除非操作系统中安装了用于使用容器和命名空间的组件,否则应用程序不会扫描命名空间和容器。此外,在“应用程序”部分的设备属性中,以及容器扫描的“组件”部分的应用程序属性中,会显示“已停止”状态。
容器扫描设置
|
设置 |
Description |
|---|---|
|
使用 Docker |
该复选框可启用或禁用 Docker 环境。 默认选中该复选框。 |
|
Docker 套接字路径 |
用于指定 Docker 套接字的路径或 URI(统一资源标识符)的输入字段。 默认值为 /var/run/docker.sock。 |
|
使用 CRI-O |
该复选框启用或禁用 CRI-O 环境。 默认选中该复选框。 |
|
文件路径 |
用于指定 CRI-O 配置文件路径的输入字段。 默认值:/etc/crio/crio.conf。 |
|
使用 Podman |
该复选框启用或禁用 Podman 实用程序。 默认选中该复选框。 |
|
文件路径 |
用于指定 Podman 实用程序可执行文件路径的输入字段。 默认值:/usr/bin/podman。 |
|
根文件夹 |
用于指定容器存储的根目录路径的输入字段。 |
|
使用 runc |
该复选框启用或禁用 runc 实用程序。 默认选中该复选框。 |
|
文件路径 |
用于指定 runc 实用程序可执行文件路径的输入字段。 默认值:/usr/bin/runc。 |
|
根文件夹 |
用于指定容器状态存储的根目录路径的输入字段。 默认值:/run/runc-ctrs。 |
Managed Detection and Response
Kaspersky Endpoint Security 与 Kaspersky Managed Detection and Response 之间的集成可实现持续搜索、检测和消除针对您组织的威胁。
与卡巴斯基托管检测与响应交互时,Kaspersky Endpoint Security 允许您执行以下操作:
- 将遥测数据发送到 Kaspersky Managed Detection and Response 以进行威胁检测。
- 执行卡巴斯基托管检测与响应命令以提供安全功能。
托管检测与响应设置
设置
Description
启用托管检测与响应
该复选框用于启用 Kaspersky Endpoint Security 与 Kaspersky Managed Detection and Response 之间的集成。
默认情况下,清除此复选框。
下载
单击此按钮将打开一个标准的 Microsoft Windows 窗口,您可以在其中选择 BLOB 配置文件。
网络设置
您可以配置加密连接扫描的设置。这些设置被 Web 威胁防护组件使用。
更改加密连接扫描设置时,应用程序会生成网络设置已更改事件。
网络设置
|
设置 |
Description |
|---|---|
|
启用加密连接扫描 |
此复选框启用或禁用对加密连接的扫描。 默认选中该复选框。 |
|
遇到不受信任的证书时的操作 |
在此下拉列表中,您可以选择应用程序在检测到不受信任的证书时要执行的操作:
|
|
加密连接扫描出错时的操作 |
在此下拉列表中,您可以选择在加密连接扫描期间发生错误时,应用程序要执行的操作:
|
|
证书验证策略 |
在此下拉列表中,您可以选择应用程序验证证书的方式:
|
|
受信任域 |
这组设置包含配置按钮。单击此按钮将打开“受信任域”窗口。在此窗口中,您可以配置受信任域名列表。 |
|
受信任的证书 |
这组设置包含配置按钮。单击此按钮将打开“受信任的证书”窗口。在此窗口中,可以配置受信任证书列表,在扫描加密连接时会使用该列表。 |
|
网络端口设置 |
这组设置包含配置按钮。单击此按钮将打开“网络端口”窗口。 |
“受信任域”窗口
此列表包含将从加密连接扫描中排除的域名和域名掩码。
示例:*example.com。例如,*example.com/* 是不正确的,因为需要指定域地址而不是网页。
默认情况下,该列表为空。
页面顶部“受信任的证书”窗口
您可以配置 Kaspersky Endpoint Security 认为可信的证书列表。扫描加密连接时,将使用受信任的证书列表。
将显示每个证书的以下信息:
- 主题 – 证书主题
- 序号 – 证书的序列号
- 颁发者 – 证书的颁发者
- 有效自 – 证书生效日期
- 到期日期 – 证书到期日期
- SHA-256 指纹 – SHA-256 证书指纹
默认情况下,证书列表为空。
页面顶部“添加证书”窗口
在此窗口中,您可以通过以下方式之一将证书添加到受信任的证书列表中:
- 指示证书文件的路径。“浏览”按钮将打开标准文件选择窗口。指示包含证书的文件(DER 或 PEM 格式)的路径。
- 将证书文件的内容复制到“输入证书详情”字段中。
“网络端口”窗口
网络端口设置
|
设置 |
Description |
|---|---|
|
监控所有网络端口 |
如果选择此选项,应用程序将监控所有网络端口。 |
|
仅监控指定端口 |
如果选择此选项,应用程序将仅监控表中指定的网络端口。 默认选中该选项。 |
|
网络端口设置 |
如果选择了仅监控指定端口选项,则此表包含应用程序监控的网络端口。该表包含两列:
默认情况下,该表显示通常用于传输邮件和网络通信的网络端口列表。网络端口列表包含在应用程序包中。 |
全局排除项
全局排除项允许您为使用文件操作拦截器(文件威胁防护和反加密)的应用程序组件设置将被排除在扫描范围之外的挂载点。
全局排除项设置
|
设置 |
Description |
|---|---|
|
被排除的挂载点 |
这组设置包含配置按钮。单击此按钮可打开被排除的挂载点窗口。 |
“挂载点路径”窗口
挂载点设置
|
设置 |
描述 |
|---|---|
|
文件系统,访问协议和路径 |
该设置块允许您设置挂载点的位置。 在文件系统下拉列表中,您可以选择要添加到扫描排除项的目录所在的文件系统类型:
|
|
如果在文件系统下拉列表中选择挂载,则可以在右侧下拉列表中选择远程访问协议:
|
|
|
如果在文件系统下拉列表中选择本地,则可以在输入字段中输入要从文件操作拦截中排除的挂载点的路径。您可以使用掩码指定路径。 |
|
|
文件系统名称 |
用于输入要从文件操作拦截中排除的目录所在的文件系统名称的字段。 如果在文件系统下拉列表中选择了挂载类型,并且在右侧的下拉列表中选择了自定义项,则该字段可用。 |
存储设置
存储是在清除过程中已删除或修改的文件备份副本的列表。备份副本是在第一次尝试清除或删除此文件之前创建的文件的副本。文件的备份副本以特定格式保存并且不会带来威胁。默认情况下,存储位于 /var/opt/kaspersky/kesl/common/objects-backup/ 目录中。存储中的文件可能包含个人数据。需要根权限以访问存储中的文件。
存储设置
|
设置 |
Description |
|---|---|
|
通知未处理的文件 |
此复选框启用或禁用向管理服务器发送有关扫描期间无法处理的文件的通知。 默认选中该复选框。 |
|
通知已安装的设备 |
此复选框启用或禁用向管理服务器发送有关受管理客户端设备上安装的设备的信息。 默认选中该复选框。 |
|
通知存储内的文件 |
此复选框启用或禁用向管理服务器发送有关存储中文件的通知。 默认选中该复选框。 |
|
存储对象不超过(天) |
该复选框用于启用或禁用将存储中对象的保留期限制为指定的时间间隔。 可用值:0–3653。 默认值:90。如果指定 0,则对象可在存储内无限期存储。 |
|
最大存储大小 (MB) |
该复选框用于启用或禁用将最大存储大小限制为指定值(以 MB 为单位)。 可用值:0–999999。默认值:0(存储大小无限制)。 |
Kaspersky Endpoint Detection and Response (KATA) 集成
Kaspersky Endpoint Detection and Response (KATA) 是 Kaspersky Anti Targeted Attack Platform 解决方案的一个组件,旨在保护组织的 IT 基础设施并迅速检测威胁,例如零日攻击、针对性攻击和高级持续性威胁 (APT)。要了解更多信息,请查看“Kaspersky Anti Targeted Attack Platform 帮助”。
当与 Kaspersky Endpoint Detection and Response (KATA) 交互时,Kaspersky Endpoint Security 可能会将有关设备上事件的数据(遥测数据)发送到具有中央节点组件(“KATA 服务器”)的 Kaspersky Anti Targeted Attack Platform 服务器,并执行来自 Kaspersky Anti Targeted Attack Platform 的命令以提供安全保障。
KESL 容器不支持此功能。
为了与 Kaspersky Endpoint Detection and Response (KATA) 集成,必须启用行为检测组件。
仅当启用这些组件时,Kaspersky Endpoint Security 才能与 Kaspersky Endpoint Detection and Response (KATA) 集成。否则,无法传输所需的遥测数据。
Kaspersky Endpoint Detection and Response (KATA) 还可以使用从以下组件收到的数据:
- 文件威胁防护。
- 网络威胁防护。
- Web 威胁防护。
当与 Kaspersky Endpoint Detection and Response (KATA) 集成时,具有 Kaspersky Endpoint Security 的设备会通过 HTTPS 协议与 KATA 服务器建立安全连接。为确保安全连接,使用 KATA 服务器颁发的以下证书:
- KATA 服务器证书。使用服务器的 TLS 证书对连接进行加密。您可以通过在 Kaspersky Endpoint Security 端验证服务器证书来提高连接的安全性。您需要在配置集成设置时添加服务器证书。
- 客户端证书。此证书用于使用双向身份验证对连接进行额外保护(使用 Kaspersky Endpoint Security KATA 服务器扫描设备)。多个设备可以使用同一客户端证书。默认情况下,KATA 服务器不验证客户端证书,但可以在 KATA 服务器端启用验证。在这种情况下,您需要在集成选项中启用双向身份验证并添加客户端证书(带证书和私钥的加密容器)。
用于保护与 KATA 服务器的连接的证书由 Kaspersky Anti Targeted Attack Platform 管理员提供。
如果在 Kaspersky Endpoint Security 的常规应用程序设置中配置了使用代理服务器,则使用代理服务器连接到 KATA 服务器。
Kaspersky Endpoint Detection and Response (KATA) 集成设置
|
设置 |
描述 |
|---|---|
|
与 Endpoint Detection and Response (KATA) 集成。 |
启用或禁用 Kaspersky Endpoint Security 应用程序与 Kaspersky Endpoint Detection and Response (KATA) 的集成。 默认情况下,禁用 Integration Server。 |
|
KATA 服务器 |
单击模块中的“配置”按钮将打开“КАТА 服务器”窗口。在此窗口中,您可以配置与 KATA 服务器的连接并查看已配置连接的服务器列表。 |
|
服务器连接设置 |
模块中的“配置”按钮将打开一个窗口,在其中可以配置连接到 KATA 服务器的常规设置,添加服务器证书,并配置连接到 KATA 服务器时的双向身份验证。 |
|
数据传输设置 |
模块中的“配置”按钮将打开一个窗口,在其中可以配置传输到 KATA 服务器的数据的设置。 |
“KATA 服务器”窗口
窗口中的表格显示用于连接到 KATA 服务器的设置列表。对于已配置连接的每个服务器,该表都指示一个 IP 地址(IPv4 或 IPv6)或服务器的完全限定域名 (FQDN) 和端口。
您可以使用表格上方的按钮和菜单执行以下操作:
- 添加 KATA 服务器连接设置
- 编辑或删除以前配置的连接设置
- 导出或导入已配置的连接设置列表
与 KATA 服务器的连接设置窗口
在此窗口中,可以指定与 KATA 服务器的连接设置。
KATA 服务器连接设置
|
设置 |
描述 |
|---|---|
|
Address |
KATA 服务器地址。可以指定集成服务器的 IP 地址(IPv4 或 IPv6)或完全限定域名 (FQDN)。 |
|
Port |
用于连接到 KATA 服务器的端口。 默认值为 |
“服务器连接设置”窗口
在此窗口中,您可以配置连接到 KATA 服务器的常规设置。
KATA 服务器连接设置
|
设置 |
描述 |
|---|---|
|
发送同步请求到 KATA 服务器的间隔(分钟) |
发送同步请求到 KATA 服务器的间隔(以分钟为单位)。 默认值:5。 |
|
等候服务器连接的最长时间(秒) |
等待与 KATA 服务器连接的最长时间(以秒为单位)。 默认值为 |
|
等候服务器响应的最长时间(秒) |
等待 KATA 服务器响应的最长时间(以秒为单位)。 默认值为 |
|
允许发送遥测数据 |
启用或禁用将有关设备上事件的数据(遥测数据)发送到 KATA 服务器。 默认启用发送遥测数据。 |
|
使用双重身份验证 |
启用或禁用双向身份验证以进一步保护与 KATA 服务器的连接。 要使用双重身份验证,您需要添加客户端证书。 必须在 KATA 服务器端启用双向身份验证。 |
|
添加(客户端证书) |
打开“添加客户端证书”窗口,以提高与 KATA 服务器的连接的安全性。 如果尚未添加客户端证书,则会显示该按钮。 如果要为连接配置额外的保护,请在 KATA 服务器端启用客户端证书验证,并在此窗口中选中“使用双重身份验证”复选框。 |
|
删除(客户端证书) |
删除客户端证书。 如果已添加客户端证书,则会显示该按钮。 |
|
添加(服务器证书) |
打开“添加服务器证书”窗口。 如果尚未添加服务器证书,则会显示该按钮。 |
|
删除(服务器证书) |
删除服务器证书。 仅当已添加服务器证书时,才会显示该按钮。 |
“添加服务器证书”窗口
在此窗口中,您可以通过以下方式之一添加 KATA 服务器证书:
- 在“从文件添加”字段中指定证书文件的路径。“浏览”按钮将打开标准文件选择窗口。指定包含证书的文件(DER 或 PEM 格式)的路径。
- 将证书文件的内容复制到“输入证书详情”字段中。
如果已添加服务器证书,则在 Kaspersky Endpoint Security 端验证服务器证书。这提高了连接的安全性。
页面顶部“添加客户端证书”窗口
在此窗口中,您可以添加客户端证书以进一步保护与 KATA 服务器的连接。
如果要为连接配置额外的保护,请在 KATA 服务器端启用客户端证书验证,并在“服务器连接设置”窗口中选中“使用双重身份验证”复选框。
要添加客户端证书,请指定包含客户端证书和私钥的加密容器(PFX 存档)的路径。“浏览”按钮将打开标准文件选择窗口。如果存档受密码保护,请在“加密容器密码”字段中输入密码。
页面顶部“数据传输设置”窗口
在此窗口中,您可以配置将数据发送到 KATA 服务器的设置。
将数据发送到 KATA 服务器的设置
|
设置 |
描述 |
|---|---|
|
发送事件时的最大延时(秒) |
向 KATA 服务器发送事件的最大延迟(以秒为单位)。 默认值为 |
|
启用事件限制 |
启用或禁用调节发送到 KATA 服务器的事件数。 |
|
每小时的最大事件数量 |
每小时的最大事件数量 默认值为 |
|
事件限制阈值(百分比) |
事件限制阈值(百分比)。如果一种类型的事件(例如,有关注册表更改的事件)占事件总数的比例超过设置的阈值(以百分比表示),则发送事件将受到限制。 默认值为 |